fbpx

Onveilige software? Of onveilig gedrag?

Er is al eindeloos veel over veiligheid geschreven, zeker nu na Snowden. Mijn collega Rink besteedde onlangs nog aandacht aan het lek in Internet Explorer (CVE-2014-0515) en de recente Heartbleed bug (CVE-2014-0160) is een van de meest ernstige security bugs ooit.

Door Lennart Zuur

Niet zelden rammelt de software, dat is een feit. Helaas is ook veel ellende toe te schrijven aan simpelweg ‘geaccepteerde’ implementatie, wetgeving of erger: geaccepteerd dubieus “online” gedrag waar zelden iemand een kritische blik op werpt.
Onverschilligheid of onwetendheid zijn minstens zo gevaarlijk als een zwakke plek in de software. Het bewijs wordt bij herhaling geleverd door online oplichters: social engineering en phishing blijken zeer effectief.

foto2

Openbare Wifi netwerken

Internet op de smartphone via een gangbare 3G /4G-verbinding is redelijk veilig te noemen dankzij de gehele of gedeeltelijke versleuteling (vaak middels IPsec). Bij ‘gratis Wifi’ – ook wel met de afkorting frifi aangeduid – ligt dat snel anders. Veel hotels, restaurants en overheidsinstellingen, bieden openbaar Wifi aan. Qua veiligheidsvoorzieningen denkt de aanbieder van dit netwerk vrijwel geheel vanuit het eigen bedrijf of organisatie: buitenstaanders mogen onder geen beding toegang tot het ‘eigen’ netwerk krijgen. Zodra dat flink is dichtgetimmerd is de kous af. Echter bij frifi volstaat veel te vaak anoniem inloggen, een wachtwoord is vaak niet vereist. De verbinding is nu niet versleuteld.
Kortom, terwijl het interne netwerk van de aanbieder veilig is, doen de gasten het onveilig. De aanbieder van het netwerk neemt geen verantwoording voor het ‘internetwelzijn’ van de gast, maar ook niet voor zichzelf.
Authenticatie, autorisatie en encryptie: Wie gebruikt het netwerk? Mag die persoon het netwerk op? Is het verkeer van deze persoon versleuteld en dus onleesbaar voor anderen?
Een standaard checklist voor elke beheerder. Maar bij open Wifi zonder versleuteling verkoop je ‘nee’ op alle drie de randvoorwaarden, ook al kan niemand onbedoeld bij het interne netwerk.
Waarom is de eigenaar van het netwerk oliedom bezig?

Omdat er in deze situatie niet te controleren is wie wat doet, zet de gastheer zijn deur wagenwijd open voor illegale praktijken. Je eigen, goed bedoelde Wifi-service, functioneert namelijk als een anonymous proxy: acties zijn nooit te herleiden naar een persoon, hooguit naar identiteitsloze devices die toevallig in de buurt zijn. Een aantrekkelijke situatie voor kwaadwillenden die anoniem willen blijven.
De eigenaar van het netwerk loopt een groot risico. Zodra er serieus stront aan de spreekwoordelijke knikker is, klopt Justitie uiteindelijk aan bij de eigenaar van het publieke IP.
Het IP-adres wijst immers richting de gastheer, die geen enkele notie heeft van wat er allemaal is uitgespookt via zijn netwerk.
Waarom loopt de gebruiker een risico?

Maar er is meer ellende. Bij een onversleuteld, publiek Wifi netwerk kan een kwade genius heel simpel het netwerkverkeer van anderen afvangen en analyseren. Gebruikers van het Wifi netwerk lopen dus een groot gevaar.
Het werkt eigenlijk redelijk simpel: Een aanvaller kan een “sniffer” gebruiken, software waardoor hij tussen jou en de gateway gaat zitten. Wees je er van bewust dat dit niet eens een vorm van “hacken” is, het is op z’n hoogst liegen tegen netwerk apparatuur. Sterker nog: beheerders gebruiken dezelfde techniek voor legitieme doelen om remote analyse uit te voeren van het netwerkverkeer op het lokale bedrijfsnetwerk maar noemt men dit dan vaak “Netwerk Analyse”.
Soms kiest de aanvaller voor een vermomming, en doet hij alsof hij een wifi-hotspot is waarop anderen in kunnen loggen. Wanneer deze zich aanbiedt onder bijvoorbeeld de naam ‘Free Airport Wifi 4 You’ dan zullen hele volksstammen zonder enig wantrouwen aanloggen. “Free Aiport” is overigens geen toevallig voorbeeld, op vliegvelden gebeurd dit zeer regelmatig. Bij deze verbinding passeert elk netwerkpakketje de computer van de aanvaller. Of de data ook leesbaar is wanneer deze in verkeerde handen valt, hangt vanaf dat moment volledig af van de applicaties op de smartphone of tablet: versleutelen die wel of niet de data van de verzender?
Je bent kwetsbaarder dan je denkt

Hoeveel apps heb je op je telefoon? 50? 100? Hoeveel van deze gebruiken internet? En hoeveel daarvan versleutelen die verbinding?
Minder dan je wellicht denkt. Mailprotocollen als SMTP, POP3 en IMAP jassen standaard onversleuteld je mail het net op. Een veilige verbinding (TLS/SSL) is zeer goed mogelijk, maar vaak optioneel en zeker niet standaard. Webpagina’s (http) zijn standaard onversleuteld tenzij het om een SSL verbinding gaat. (te herkennen aan de bekende https prefix in de adresbalk)
Extra complicerend is dat de verantwoordelijkheid voor veiligheid niet per definitie bij een protocol of applicatie ligt: misschien gaan de ontwikkelaars er gewoon van uit dat hun applicaties alleen van veilige verbindingen gebruik maken, of dat de verbinding een vertrouwde is en soms is het simpelweg implementatie van stokoude protocollen die niet zomaar te veranderen zijn vanwege de wereldwijde implementatie. Veel bedrijven bieden echter wel optioneel versleuteling aan bij bijvoorbeeld mailcommunicatie, of forceren dit zelfs (gmail bijvoorbeeld over IMAP/POP3)

Om een idee te krijgen, hieronder een log van een analyse (Wireshark) op een pop3 sessie:

foto1

Niet prettig dacht ik. Je wachtwoord open en bloot. Dan is “DnyC4zXU” al een stuk minder leesbaar. Dit is 123456 met een RC4 32-bits versleuteling, een sleutel van 4 ascii characters. Maar dan nog blijft het wachtwoord en de versleuteling te eenvoudig. Als je versleutelt, dan kan je toch beter wat zwaarder geschut uit de kast trekken.
Mijn nadrukkelijke voorkeur heeft daarom een verbinding met minimaal WPA versleuteling, liefst WPA2. WEP is om meerdere redenen onveilig: met de WEP key kan je immers net zo hard netwerkverkeer van anderen ontsleutelen en is bovendien om nog andere redenen onveilig.
Moraal: wees alert als je een openbaar Wifi netwerk gebruikt en denk vooral na over welke applicaties je gebruikt. Op Nu.nl browsen is misschien minder riskant dan (vertrouwelijke) mail beantwoorden.
Een alternatief is het gebruik van een VPN. Misschien heeft je router thuis wel een VPN optie. Maak met je mobiele device eerst een VPN naar huis of naar een vertrouwde provider. In de Appstore, de Playstore of op Marketplace zijn VPN clients te vinden voor je mobieltje. Op deze manier ‘tunnel’ je al het verkeer op een versleutelde manier en maakt het niet meer uit of de pakketjes in de tunnel al dan niet leesbaar zijn.

Pas dus op met openbare Wifi, en neem je maatregelen. Want anders dan de heartbleed exploit misbruiken is inbreken via openbare Wifi wel kinderlijk eenvoudig.

Eens van gedachten wisselen over security? Ook daarin kan ResultaatGroep helpen.